Информация об основаниях и порядке проведения проверок

       «Административный регламент проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных».

       (Утверждён Приказом  Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 01.12.2009 № 630)

       п.11. (Регламента) Информация об основаниях и порядке проведения проверок предоставляется при личном обращении заинтересованных лиц в Службу, по письменным обращениям заявителей, размещается на официальном сайте Службы и ее территориальных органов, а также на информационных стендах территориальных органов Службы.

  

 Информация об основаниях и порядке проведения проверок

       18. Плановые проверки проводятся на основании ежегодного плана проведения плановых проверок Службы на текущий календарный год (далее - План).

       19. План утверждается руководителем Службы после завершения органами прокуратуры процедуры рассмотрения на предмет законности включения в него объектов государственного контроля (надзора) и внесения предложений о проведении совместных плановых проверок.

        21. Плановые проверки проводятся:

       21.1. В отношении Операторов, включенных в Реестр операторов, осуществляющих обработку персональных данных (далее - Реестр).

       21.2. В отношении Операторов, не включенных в Реестр, но осуществляющих обработку персональных данных.

       22. Основанием для включения плановой проверки в План является начало осуществления Оператором деятельности по обработке персональных данных, а также истечение трех лет со дня:

       22.1. Государственной регистрации Оператора в качестве юридического лица, индивидуального предпринимателя.

       22.2. Окончания проведения последней плановой проверки Оператора.

       23. О проведении плановой проверки Оператор уведомляется не позднее чем в течение трех рабочих дней до начала ее проведения посредством направления копии приказа руководителя, заместителя руководителя Службы или ее территориального органа почтовым отправлением с уведомлением о вручении или иным доступным способом.

        27. Внеплановые проверки проводятся по следующим основаниям:

       27.1. Истечение срока исполнения Оператором ранее выданного предписания об устранении выявленного нарушения установленных требований законодательства Российской Федерации в области персональных данных.

       27.2. Поступление в Службу или ее территориальные органы обращений и заявлений граждан, юридических лиц, индивидуальных предпринимателей, информации от органов государственной власти, органов местного самоуправления, из средств массовой информации о следующих фактах:

       27.2.1. Возникновение угрозы причинения вреда жизни, здоровью граждан.

       27.2.2. Причинение вреда жизни, здоровью граждан.

       27.3. Приказ руководителя Службы или руководителя территориального органа Службы, изданный в соответствии с поручениями Президента Российской Федерации, Правительства Российской Федерации.

       27.4. Нарушение прав и законных интересов граждан действиями (бездействием) Операторов при обработке их персональных данных.

       27.5. Нарушение Операторами требований законодательства Российской Федерации в области персональных данных, а также о несоответствии сведений, содержащихся в уведомлении об обработке персональных данных, фактической деятельности.

       28. Обращения и заявления, не позволяющие установить лицо, обратившееся в Службу или ее территориальный орган, а также обращения и заявления, не содержащие сведений о фактах, указанных в пункте 27 настоящего Регламента, не могут служить основанием для проведения внеплановой проверки.

       29. О проведении внеплановой выездной проверки Оператор уведомляется Службой или ее территориальным органом не менее чем за двадцать четыре часа до начала ее проведения любым доступным способом.

       30. Если в результате деятельности Оператора причинен или причиняется вред жизни, здоровью граждан, предварительное уведомление Оператора о начале проведения внеплановой выездной проверки не требуется.

        31. Срок проведения как плановой, так и внеплановой проверки не может превышать двадцать рабочих дней.

        38. Проверки проводятся должностными лицами Службы и (или) ее территориального органа на основании приказов Службы и (или) ее территориальных органов.

        Проведение проверки

       57. Копия приказа о проведении проверки, заверенная гербовой печатью Службы или ее территориального органа, предъявляется должностным лицом, проводящим проверку, руководителю или иному уполномоченному представителю Оператора одновременно со служебным удостоверением.

       58. На втором экземпляре копии приказа о проведении проверки, остающейся у должностного лица Службы или территориального органа, руководитель или иной уполномоченный представитель Оператора проставляет отметку о получении копии приказа о проведении проверки с указанием должности, фамилии, имени и отчества, а также даты и времени его получения.

       59. Проверка проводится должностными лицами Службы или ее территориального органа, которые указаны в приказе о ее проведении.

       61. Служба или ее территориальный орган не вправе осуществлять плановую или внеплановую выездную проверку в случае отсутствия при ее проведении руководителя или иного уполномоченного представителя Оператора, за исключением случая проведения такой проверки по основанию, предусмотренному подпунктами 27.2.2 настоящего Регламента.

       62. Руководитель, иной уполномоченный представитель Оператора должен обеспечить необходимые условия для проведения проверки и обязан по требованию должностных лиц Службы или ее территориального органа, проводящих проверку, организовать доступ к оборудованию, в помещения, где осуществляется обработка персональных данных, предоставить необходимую информацию и документацию для достижения целей проверки.

       63. В случае необоснованного препятствования проведению проверки, уклонения от участия в проведении проверки руководитель или иной уполномоченный представитель Оператора несут ответственность в соответствии с законодательством Российской Федерации.

        65. Должностные лица Службы или ее территориального органа при проведении проверок вправе в пределах своей компетенции:

       65.1. Выдавать обязательные для выполнения предписания об устранении выявленных нарушений в области персональных данных.

       65.2. Составлять протоколы об административном правонарушении или направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении дел об административных правонарушениях, а также о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью.

       65.3. Обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных.

       65.4. Использовать технику и оборудование, принадлежащие Службе или ее территориальному органу.

       65.5. Запрашивать и получать необходимые документы (сведения) для достижения целей проведения проверки.

       65.6. Получать доступ к информационным системам персональных данных в режиме просмотра и выборки необходимой информации.

       65.7. Направлять заявление в орган, осуществляющий лицензирование деятельности Оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности предусмотрен запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных.

       65.8. Принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушениями требований законодательства Российской Федерации в области персональных данных.

       65.9. Требовать от Оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных.

        67.9. Оператор вправе представить дополнительно документы, подтверждающие достоверность ранее представленных документов.

        Оформление результатов и принятие мер по результатам проверок

       73. По результатам проверки должностными лицами Службы или ее территориального органа, проводившими проверку, составляется акт проверки, который оформляется непосредственно после ее завершения.

       77. По результатам проведения проверки Оператора, осуществляющего деятельность на территории одного субъекта Российской Федерации, должностными лицами Службы или ее территориального органа акт составляется в двух экземплярах. Один экземпляр акта с копиями приложений вручается руководителю или иному уполномоченному представителю Оператора под расписку об ознакомлении либо об отказе в ознакомлении с актом проверки или направляется заказным почтовым отправлением с уведомлением о вручении, которое приобщается к экземпляру акта, хранящемуся в деле Службы или ее территориального органа.

       79. В случае отсутствия руководителя или иного уполномоченного представителя Оператора, а также в случае отказа Оператора дать расписку об ознакомлении либо от отказе в ознакомлении с актом проверки в акте делается соответствующая запись, подтверждаемая подписями должностных лиц Службы или ее территориального органа, проводивших проверку. Данный акт с копиями приложений направляется заказным почтовым отправлением с уведомлением о вручении, которое приобщается к экземпляру акта, хранящемуся в деле Службы или ее территориального органа.

       80. При наличии разногласий по содержанию акта окончательное решение принимает должностное лицо Службы или ее территориального органа, исполняющее функции руководителя проверки. Должностные лица Службы или ее территориального органа, проводящие проверку, а также представители Оператора, не согласные с принятым решением, вправе изложить в письменной форме свое особое мнение, которое прилагается к акту.

       Акт подписывают все должностные лица Службы или ее территориального органа, проводившие проверку, после чего в него запрещается вносить изменения и дополнения.

       К акту прилагаются протоколы, справки, объяснительные работников Оператора, на которых возложены обязанности по обработке персональных данных, и другие документы, подтверждающие выявление (устранение) нарушения.

        82. В случае выявления по результатам проверки нарушения требований законодательства Российской Федерации в области персональных данных Оператору, вместе с актом, выдается предписание об устранении выявленных нарушений.

        85. В случае выявления в ходе или по результатам проверки административного правонарушения, предусмотренного Кодексом Российской Федерации об административных правонарушениях, в том числе невыполнения в установленный срок ранее выданного предписания об устранении выявленного нарушения обязательных требований законодательства Российской Федерации в области персональных данных, должностные лица Службы или ее территориального органа составляют такой протокол в порядке, установленном законодательством Российской Федерации, или направляют материалы в органы прокуратуры, другие правоохранительные органы для разрешения вопроса о возбуждении дела об административном правонарушении, а также о возбуждении уголовного дела, при наличии оснований для возбуждения уголовных дел по признакам преступлений, выявленных в ходе проверки и связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью.

        86. По окончании проверки должностное лицо Службы или ее территориального органа в журнале Оператора по учету проверок производит запись о проведенной проверке.

       Форма журнала учета проверок установлена Приказом Минэкономразвития России от 30.04.2009 N 141. Журнал учета проверок должен быть прошит, пронумерован и удостоверен печатью Оператора.

       При отсутствии журнала учета проверок в акте проверки делается соответствующая запись.

        88. Заявитель вправе обратиться в Службу или ее территориальный орган устно в ходе личного приема или письменно с обращением (жалобой, заявлением) на решения, действия (бездействие) должностных лиц Службы или ее территориальных органов в ходе проведения проверок на основании настоящего Регламента в соответствии с действующим законодательством Российской Федерации.

 

Вариант  приказа о проверке и перечень документов, представление которых проверяемым лицом необходимо для достижения
целей и задач проведения проверки.

ВАРИАНТ

ПРИКАЗ
о проведении плановой выездной проверки
Закрытого акционерного общества «»
от «____»  ____________  г. № _____

1. Провести проверку в отношении:
Закрытого акционерного общества «» (ИНН 66).
2. Назначить лицами, уполномоченными на проведение проверки:
- начальника отдела по защите прав субъектов персональных данных и надзора в сфере информационных технологий;
- ведущего специалиста-эксперта отдела по защите прав субъектов персональных данных и надзора в сфере информационных технологий.
3. Привлечь к проведению проверки в качестве экспертов, представителей экспертных организаций, следующих лиц:
не привлекать.
4. Установить, что:
настоящая проверка проводится  с целью: выполнения Плана проведения плановых проверок Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций на 2010 год, утвержденного Руководителем Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций 26.08.2009 № 423, размещенного на официальном Интернет-портале Роскомнадзора http://rkn.gov.ru;
задачами настоящей проверки являются:
- проверка соблюдения обязательных требований в сфере обработки персональных данных
-  проверка соответствия сведений, содержащихся в уведомлении об обработке персональных данных, поступивших от оператора персональных данных, и фактической деятельности оператора;
- проверка локальных актов оператора персональных данных, регламентирующих порядок и условия обработки персональных данных;
- проверка порядка и условий трансграничной передачи персональных данных;
- проверка порядка обработки персональных данных, осуществляемой с использованием и (или) без использования средств автоматизации;
- проверка соблюдения требований конфиденциальности при обработке персональных данных;
- проверка фактов уничтожения персональных данных субъектов персональных данных по достижении цели обработки.
5. Предметом настоящей проверки является: соблюдение обязательных требований законодательства Российской Федерации в области персональных данных; соответствие сведений, содержащихся в уведомлении об обработке персональных данных, поступившем от оператора персональных данных, фактической деятельности оператора.
6.  Проверку провести в период с  03.05.2011г. по 28.05.2011г. включительно.
7.  Правовые основания проведения проверки:
-  Федеральный закон от 26.12.2008 г. № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»;
-  Федеральный закон от 27.07.2006 № 152-Ф3 «О персональных данных»;
-  Трудовой кодекс РФ от 30.12.2001 № 197-Ф3;
- Постановление Правительства от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
-  Постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;
- Постановление Правительства от 16.03.2009 г. № 228 «О федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций»;
-  Положение об Управлении Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Свердловской области, утвержденное приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 22.05.2009 № 153;
-  План проведения плановых проверок Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций на 2010 год, утвержденный Руководителем Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций 26.08.2009 № 423.
8. В процессе проверки провести следующие мероприятия по контролю, необходимые для достижения целей и задач проведения проверки:
- контроль (надзор) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных
- исследование (обследование) информационных систем персональных данных, в части касающейся персональных данных субъектов персональных данных, обрабатываемых в них.
9. Перечень административных регламентов проведения мероприятий по контролю, необходимых для проведения проверки:
-  Административный регламент проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, утвержденный Приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 01.12.2009 № 630.
10. Перечень документов, представление которых проверяемым лицом необходимо для достижения целей и задач проведения проверки:
1) копия документа о назначении должностного лица или уполномоченного представителя, которое обязано представлять интересы юридического лица, индивидуального предпринимателя при проведении проверки;
2) уведомление об обработке персональных данных;
3) повторное уведомление об обработке персональных данных с исходящим номером и датой подписания (в случае внесений изменений в поля уведомления должно быть отправлено не позднее 10 рабочих дней с даты возникновения изменений);
4) документы, подтверждающие соблюдение требований законодательства Российской Федерации при обработке специальных категорий персональных данных и биометрических персональных данных;
5) письменное согласие субъектов персональных данных на обработку их персональных данных;
6) документы, подтверждающие уничтожение оператором персональных данных субъектов персональных данных по достижении цели обработки;
7) локальные акты оператора персональных данных, регламентирующие порядок и условия обработки персональных данных;
8) журнал учета проверок юридического лица, индивидуального предпринимателя, проводимых органами государственного контроля (надзора), органами муниципального контроля;
9) описание помещений: расположение, номера помещений; наличие охраны, режима обеспечения безопасности, оборудование помещений; общее количество рабочих мест, количество рабочих мест на которых обрабатываются персональные данные; описание ЭВМ, носителей, на которых производится обработка персональных данных наименование, заводской, инвентарный номер (ЭВМ, носителей персональных данных); наличие средств шифрования (криптозащиты); средств имитозащиты (аппаратные, программные, аппаратно-программные средства, системы и комплексы) - наименование, заводской, инвентарный номер;
10) список лиц, имеющих допуск в помещение;
11) приказ о назначении сотрудников, ответственных за обработку персональных данных либо имеющих к ним доступ;
12) обрабатываемые персональные данные: копия (распечатка) шаблона полей персональных данных, заверенная руководителем (доверенным лицом); копии (распечатки) шаблонов полей персональных данных специальных категорий, биометрических данных, заверенные руководителем (доверенным лицом);
13) личные дела сотрудников (выборочно, для проверки выполнения требований к обработке персональных данных работников, с согласия субъекта персональных данных);
14) договор, условие договора об обязанности уполномоченного лица обеспечить конфиденциальность персональных данных и безопасность персональных данных при их обработке в информационной системе; журналы (книги) учёта применяемых средств защиты информации, носителей персональных данных (ЭВМ, дискеты и т.п.); сертификат (ФСТЭК, ФСБ) о возможности эксплуатации средств защиты информации; приказ о составе комиссии по классификации информационных систем персональных данных; документальное оформление присвоения информационной системе соответствующего класса (Акт о присвоении класса); электронный журнал обращений пользователей информационной системы на получение персональных данных; журнал учета периодических проверок информационной системы соответствующими должностными лицами (работниками) оператора или уполномоченного лица; соответствующие документы организации охраны, режима обеспечения безопасности (приказы, другие документы);
15) журнал обращений граждан;
16) типовые формы документов предполагающие или допускающие содержание персональных данных.
11. Перечень территориальных органов Роскомнадзора, участвующих в проведении проверки: совместно с Управлением Федеральной службы по надзору в сфере защиты прав потребителей и благополучия человека по Уральскому федеральному округу;
12. Срок размещения в ЕИС Роскомнадзора территориальными органами Роскомнадзора актов проверок: до 29.05.2011г.

 

Руководитель

Время публикации: 23.09.2010 11:06
Последнее изменение: 20.05.2013 12:23